elastic detector vu par un ethical hacker
TRANSCRIPT
WEBINAR SECLUDIT
ELAST IC DETECTOR VU PAR UN ETH ICAL HACKER
JÉRÔME MOLLARET
HARDIS GROUP
CHIFFRES CLÉS
« NOUS NE LÂCHERONS
RIEN » EFFECTIFS CHIFFRE D’AFFAIRE RÉSULTAT D’EXPLOITATION
+28% +46% +88%
630 672 732853
2013 2014 2015 2016
57.2 61.268.8
83.3
2013 2014 2015 2016
6.12 6.44 6.09
7.9
2013 2014 2015 2016
En millions d’euros En % du CA
ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 319/10/2017
NOTRE POSITIONNEMENT
ENTREPRISE DE
SERVICES NUMÉRIQUESIT TRANSFORMATION & REFLEX
EDITEUR DE LOGICIELSReflex | ADELIA | CLOUD APP
Business
Consulting
Business & IT
Transformation
Business
Applications
Dev & Intégration
Cloud Apps &
Softwares
Cloud
Operations
Infrastructure &
Sécurité
Hybrid Clouds
Managed Services
Reflex
Logistics
Logistics Softwares & Solutions
Factories, Warehouses, InStore
ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 419/10/2017
NOS IMPLANTATIONS
19/10/2017 ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 5
DES PARTENAIRES CAPABLES D’INTERVENIR PARTOUT DANS LE MONDE
FRANCE
ESPAGNE
SUISSE
QUI SUIS-JE
19/10/2017 ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 1337
Consultant Cybersécurité au sein de la Direction Technique,
Certified Ethical Hacker,
Auditeur Forensic / Pentester,
Missions centrées sur la sécurisation des infrastructures,
Expertise technique sur les sujets de sécurité du groupe,
Veille active sur les menaces et vulnérabilités,
ELASTIC DETECTOR
LES RAISONS DU CHOIX
Acuité des scans,
Surveillance continue de milliers de machines,
Inventaire temps réel du parc via connecteurs VMware, AWS, Azure, etc...
Clonage possible pour effectuer des tests plus poussés,
Rapports simples, complets et compréhensibles par tous,
Indicateur KRI issu des normes ANSSI, OWASP et PCI DSS,
Réactivité et disponibilité des équipes SecludIT.
ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 819/10/2017
INTÉGRATION
INTÉGRATION D’ELASTIC DETECTOR
Chaque Datacenter possède plusieurs Appliances pour une meilleure répartion
de charges et afin de ne pas saturer les liens intersites.
ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 1019/10/2017
DATACENTER BDATACENTER A
INTÉGRATION D’ELASTIC DETECTOR
Chaque Appliance est dédiée à un périmètre pour garantir l’étanchéité des
infrastructures et des services.
ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 1119/10/2017
PÉRIMÈTRE BPÉRIMÈTRE A
INTÉGRATION D’ELASTIC DETECTOR
Chaque périmètre possède des comptes de services dédiés pour les
connecteurs et effectuer des scans afin de :
Contrôler leurs états d’activations,
Maitriser les privilèges alloués,
Tracer leurs activités,
Conserver l’isolation du périmètre,
Être en phase avec les recommandations de l’ANSSI.
ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 1219/10/2017
INTÉGRATION D’ELASTIC DETECTOR
La fréquence des scans d’une machine oscille entre 1 semaine et 1 mois en
fonction de :
Son positionnement sur le réseau (LAN, WAN, DMZ),
L’exposition de ses services aux utilisateurs,
Du type de données qu’elle héberge (conformité GDPR),
De son rôle dans le maintien en condition opérationnelle.
ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 1319/10/2017
INTÉGRATION D’ELASTIC DETECTOR
Le déploiement de chaque Appliance dans un périmètre, ainsi que son
exploitation, sont documentés en interne.
ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 1419/10/2017
WANNACRY / NOTPETYA
WANNACRY
19/10/2017 ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 16
« Découvert mi-mai 2017 et créé par le groupe Lazarus
pour la Corée du Nord, le ransomware WannaCry a été
le 1er de sa famille à embarquer 2 exploits publics volés
à la NSA l’année dernière par le groupe Shadow Brokers
portant le code d’EternalBlue et EternalRomance pour se
propager sur les hôtes vulnérables à ces attaques via
des faiblesses dans le protocole SMB, utilisé entre autres
pour le partage de fichiers, d’imprimantes, etc... »
NOTPETYA
19/10/2017 ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 17
« Apparu fin Juin 2017, le malware NotPetya a clairement
été identifié comme une arme déguisée en ransomware
créé par le groupe russe Telebots, auteur désigné
rétrospectivement de BlackEnergy. Il repose sur une
partie du code source de Petya où la fonction KillDisk est
implémentée en lieu et place du chiffrage de la MFT et
du MBR, mais aussi les fonctionnalités de WannaCry pour
se propager. »
NOTPETYA
19/10/2017 ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 18
« Il embarque également une nouveauté avec la
possibilité de voler les crédentiels des comptes des
utilisateurs s’étant logués précédemment sur l’hôte
contaminé pour les rejouer sur un hôte distant vulnérable
ou non ! C’est surtout cette dernière fonctionnalité qui
est alarmante et critique lorsque le malware vole ceux
d’un compte avec de forts privilèges sur l’ensemble du
parc comme les administrateurs… »
CHRONOLOGIE
Détection fin Janvier 2017 des failles sur
SMB v1.0,
14 Mars 2017, sortie du bulletin MS17-01 et
des correctifs associés chez Microsoft,
14 Avril 2017, Shadow Brokers rend public
des exploits dont EternalBlue et
EternalRomance,
12 Mai 2017, début de la campagne
d’infections de WannaCry,
27 Juin 2017, début de la campagne
d’infections de NotPetya.
ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 1919/10/2017
REMÉDIATION
Exemple d’un de nos périmètres critiques
composé entre autres de 23 serveurs
Microsoft monitoré par Elastic Detector,
Début des campagnes de remédiations
sur les serveurs 3e semaine de Mars,
Seul 5 serveurs subsistaient lors du
Shadow Brokers Leaks pour des raisons
d’arrêt de production et de validations
applicatives,
Ce périmètre fût protégé à temps contre
WannaCry et NotPetya.
ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 2019/10/2017
PÉRIMÈTRE C
Shadow Brokers
Leaks
WannaCry NotPetya
RÉPONSE À INCIDENT
NotPetya nous a demandé davantage de vigilance de part sa faculté à infecter
des hôtes non vulnérables via le rejeu de crédentiels,
Elastic Detector nous a permit de cartographié les périmètres pouvant être
touchés par NotPetya et de nous focaliser uniquement sur ceux-ci,
Le suivi de l’épidémie via les réseaux d’entraide de la communauté InfoSec ce
27 Juin 2017, nous a permit de récupérer l’ensemble des adresses IP / noms de
domaine des serveurs délivrant NotPetya dès 18h30,
Ces adresses IP / noms de domaine furent bloqués dans la foulée sur l’ensemble
de notre infrastructure et celles de nos clients.
ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 2119/10/2017